Назад | Перейти на главную страницу

Безопасность одноранговых виртуальных сетей с внутренним балансировщиком нагрузки

У меня две VNETS (VNET1 и VNET2). VNET1 позволяет использовать множество site2site и указывать на подключения к сайту. VNET2 содержит внутреннюю подсистему балансировки нагрузки и набор виртуальных машин для внутреннего пула этой подсистемы балансировки нагрузки. Я успешно настроил пиринг VNET между VNET1 и VNET2, который позволяет локальным клиентам в VNET1 получать доступ к внутреннему балансировщику нагрузки в VNET2, но также позволяет им получать доступ к виртуальным машинам в VNET2, чего я хочу избежать.

Я пытаюсь ограничить количество локальных клиентов, подключенных к VNET1, чтобы они могли видеть только внутренний балансировщик нагрузки в VNET2 (а не виртуальные машины в серверном пуле). Я попытался настроить NSG в подсети, в которой находятся виртуальные машины, создав следующие правила (обратите внимание, что балансировщик нагрузки находится в другой подсети в VNET2, и к нему не применяется NSG).

  1. Правило 1: разрешить LoadBalancer IP для подсети виртуальной машины (внутренний пул виртуальных машин).
  2. Правило 2: запретить весь другой трафик VnetInBound (это отменяет значение AllowVnetInBound по умолчанию).

Приведенные выше правила не позволяют VNET1 видеть что-либо в VNET2, но также по какой-то причине предотвращают отправку в подсистему балансировки нагрузки. У кого-нибудь есть идеи о том, как можно реализовать эту конфигурацию?

Я успешно настроил пиринг VNET между VNET1 и VNET2, который позволяет локальным клиентам в VNET1 получать доступ к внутреннему балансировщику нагрузки в VNET2, но также позволяет им получать доступ к виртуальным машинам в VNET2, чего я хочу избежать.

Когда вы получаете доступ к внутреннему LB, находящемуся в Vnet2 из Vnet1, LB не меняет IP-адрес источника в пакете данных, он просто меняет IP-адрес назначения (IP-адрес LB) на конкретный IP-адрес виртуальных машин, которые находятся в внутреннем пуле. . Это функция внутреннего LB, поэтому мы не должны отказывать в доступе к виртуальным машинам в Vnet2 от клиентов во Vnet1.

Приведенные выше правила не позволяют VNET1 видеть что-либо в VNET2, но также по какой-то причине предотвращают отправку в подсистему балансировки нагрузки. У кого-нибудь есть идеи о том, как можно реализовать эту конфигурацию?

Это ожидаемое поведение, как я объяснил выше, нам нужно добавить еще одно правило для входящего трафика в эту NSG, чтобы разрешить исходный IP-адрес клиентов в Vnet1 или разрешить любой источник. Что касается порта, вы можете добавить в это правило несколько конкретных портов.